淺談堡壘機(jī)系統(tǒng)在基層人民銀行科技風(fēng)險(xiǎn)防范中的應(yīng)用

周友明

【摘要】加強(qiáng)內(nèi)部控制管理工作，提高防風(fēng)險(xiǎn)能力，是基層人民銀行順利開展各項(xiàng)業(yè)務(wù)工作，充分履行基層人民銀行職能的基礎(chǔ)。隨著人民銀行信息化水平的不斷提高，科技部門運(yùn)行維護(hù)工作越來(lái)越繁重，全行各項(xiàng)業(yè)務(wù)工作風(fēng)險(xiǎn)逐漸向科技部門轉(zhuǎn)移，基層央行科技工作者面臨越來(lái)越大的內(nèi)部控制和風(fēng)險(xiǎn)防范壓力。

【關(guān)鍵詞】金融科技 堡壘機(jī)系統(tǒng) 應(yīng)用

隨著人民銀行信息化建設(shè)步伐不斷加快，基層人民銀行各項(xiàng)工作對(duì)科技部門依賴程度程度逐步加深，對(duì)科技人員的工作效率、工作質(zhì)量提出了越來(lái)越高的要求，基層人民銀行科技工作面臨新的挑戰(zhàn)。基層人民銀行科技工作受人員配備、科技管理水平等因素制約，需采用先進(jìn)的管理方式才能有效解決在內(nèi)控管理、信息安全、運(yùn)行維護(hù)等方面存在的風(fēng)險(xiǎn)問(wèn)題。

一、基層人民銀行科技工作面臨的風(fēng)險(xiǎn)

（一）口令風(fēng)險(xiǎn)

基層人民銀行科技人員數(shù)量偏少，往往一個(gè)科技人員負(fù)責(zé)十幾個(gè)業(yè)務(wù)系統(tǒng)的運(yùn)行維護(hù)工作，按照相關(guān)規(guī)定，不同的業(yè)務(wù)系統(tǒng)應(yīng)設(shè)置不同的管理口令，并且三個(gè)月更換口令一次，這就要求這就要求一個(gè)科技人員要記住十幾個(gè)系統(tǒng)管理口令，并且按要求進(jìn)行更換，如果沒(méi)有按相關(guān)規(guī)定做好系統(tǒng)管理口令登記、封存、移交工作，極易在日常工作中發(fā)生遺忘系統(tǒng)管理口令的情況。同時(shí)，部分科技人員為了省事，減輕記憶負(fù)擔(dān)，常常將所負(fù)責(zé)的十幾個(gè)業(yè)務(wù)系統(tǒng)管理口令設(shè)置成相同的口令，若發(fā)生口令泄密或業(yè)務(wù)系統(tǒng)被黑客攻破，那么所負(fù)責(zé)的十幾個(gè)業(yè)務(wù)系統(tǒng)均面臨嚴(yán)重風(fēng)險(xiǎn)。

（二）責(zé)任風(fēng)險(xiǎn)

盡管相關(guān)制度規(guī)定每個(gè)系統(tǒng)管理員應(yīng)設(shè)置不同的賬號(hào)，不能使用Administrator、root等超級(jí)用戶賬號(hào)對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行維護(hù)，然而在各業(yè)務(wù)系統(tǒng)在開發(fā)、測(cè)試、培訓(xùn)時(shí)常常是使用Administrator、root等超級(jí)用戶賬號(hào)，為了省事圖方便，科技人員在維護(hù)和使用各業(yè)務(wù)系統(tǒng)時(shí)未為不同的系統(tǒng)管理員應(yīng)設(shè)置不同的賬號(hào)，繼續(xù)使用Administrator、root等超級(jí)用戶賬號(hào)對(duì)各業(yè)務(wù)系統(tǒng)進(jìn)行日常維護(hù)。不但Administrator、root等超級(jí)用戶賬號(hào)由于權(quán)限過(guò)大在維護(hù)業(yè)務(wù)系統(tǒng)時(shí)容易產(chǎn)生誤操作風(fēng)險(xiǎn)，而且多個(gè)接觸過(guò)該業(yè)務(wù)系統(tǒng)的科技人員均有可能掌握該業(yè)務(wù)系統(tǒng)超級(jí)用戶賬號(hào)和密碼，若發(fā)生業(yè)務(wù)系統(tǒng)破壞性操作，則無(wú)法明確責(zé)任。

（三）合規(guī)風(fēng)險(xiǎn)

按照國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)規(guī)定，二級(jí)以上信息系統(tǒng)登錄方式應(yīng)采用“雙因子”登錄方式，即：在信息系統(tǒng)登錄時(shí)，采用兩種以上的登錄方式。目前，基層人民銀行大部分業(yè)務(wù)系統(tǒng)均采用簡(jiǎn)單的賬戶、密碼登錄方式，不符合國(guó)家信息系統(tǒng)安全等級(jí)保護(hù)相關(guān)規(guī)定。

（四）遠(yuǎn)程維護(hù)風(fēng)險(xiǎn)

基層人民銀行科技人員運(yùn)行維護(hù)工作涉及面較廣，如：各業(yè)務(wù)系統(tǒng)巡檢、各業(yè)務(wù)系統(tǒng)系統(tǒng)數(shù)據(jù)備份、各業(yè)務(wù)系統(tǒng)升級(jí)等等。由于運(yùn)行維護(hù)工作量大，相當(dāng)一部分工作是通過(guò)遠(yuǎn)程維護(hù)的方式來(lái)完成的，如：telnet、遠(yuǎn)程桌面、FTP等等。這些方式均不同程度地存在被截獲、篡改等安全風(fēng)險(xiǎn)。

（五）系統(tǒng)審計(jì)風(fēng)險(xiǎn)

基層人民銀行大部分業(yè)務(wù)系統(tǒng)在研發(fā)時(shí)，未考慮系統(tǒng)運(yùn)行維護(hù)審計(jì)因素，在業(yè)務(wù)系統(tǒng)上線運(yùn)行后，盡管科技人員按照相關(guān)規(guī)定設(shè)置了操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)自帶的日志管理功能，但這些功能相對(duì)較為薄弱，無(wú)法滿足對(duì)系統(tǒng)管理員所有運(yùn)行維護(hù)操作的全面、完整、規(guī)范的審計(jì)要求。

二、堡壘機(jī)的作用

“堡壘”一詞是指難于攻破的事物或用于防守的堅(jiān)固建筑物，而“堡壘機(jī)”是指抵抗攻擊的計(jì)算機(jī)系統(tǒng)，在實(shí)際工作中“堡壘機(jī)”也稱為“堡壘機(jī)系統(tǒng)”。是一個(gè)信息系統(tǒng)，通過(guò)軟、硬件加固，安全性較高，具備較強(qiáng)的抵抗信息攻擊的能力，它的作用就是將需要保護(hù)的各業(yè)務(wù)系統(tǒng)與威脅來(lái)源邏輯隔離，既能讓合法的用戶訪問(wèn)各業(yè)務(wù)系統(tǒng)，又能阻斷各種信息攻擊。

根據(jù)“堡壘機(jī)系統(tǒng)”應(yīng)用環(huán)境，堡壘機(jī)系統(tǒng)可分為網(wǎng)關(guān)型堡壘機(jī)系統(tǒng)和運(yùn)維審計(jì)型堡壘機(jī)系統(tǒng)兩種類型。

堡壘機(jī)系統(tǒng)可提供對(duì)各業(yè)務(wù)系統(tǒng)資源進(jìn)行集中賬好管理、權(quán)限管理和操作審計(jì)，應(yīng)用堡壘機(jī)系統(tǒng)是基層人民銀行防范科技風(fēng)險(xiǎn)比較理想的解決方案。

三、堡壘機(jī)系統(tǒng)在基層人民銀行科技風(fēng)險(xiǎn)防范中的應(yīng)用

（一）利用堡壘機(jī)系統(tǒng)單點(diǎn)登錄功能，對(duì)各安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)等管理員密碼實(shí)現(xiàn)周期自動(dòng)更改，簡(jiǎn)化各業(yè)務(wù)系統(tǒng)管理員賬號(hào)密碼管理工作，減輕系統(tǒng)管理員工作壓力，降低基層人民銀行科技人員在日常運(yùn)維工作中口令管理風(fēng)險(xiǎn)。

（二）利用堡壘機(jī)系統(tǒng)賬戶管理功能，實(shí)現(xiàn)對(duì)所有安全設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)及數(shù)據(jù)庫(kù)系統(tǒng)等管理員賬號(hào)集中管理，實(shí)現(xiàn)對(duì)管理員賬號(hào)的監(jiān)控，并各業(yè)務(wù)系統(tǒng)特殊角色進(jìn)行設(shè)置，如：系統(tǒng)操作員、系統(tǒng)維護(hù)員、審計(jì)員等，達(dá)到審計(jì)規(guī)范要求，降低基層人民銀行科技人員在日常運(yùn)維工作中責(zé)任認(rèn)定風(fēng)險(xiǎn)。

（三）利用堡壘機(jī)系統(tǒng)提供的統(tǒng)一身份鑒別功能，采用多種身份鑒別方式對(duì)用戶進(jìn)行認(rèn)證，如：硬件key、動(dòng)態(tài)密碼、生物特征、靜態(tài)密碼等等。通過(guò)安全的身份鑒別模式，可以有效提高身份鑒別的可靠性和安全性，降低基層人民銀行科技人員在日常運(yùn)維工作中合規(guī)性風(fēng)險(xiǎn)。

（四）利用堡壘機(jī)系統(tǒng)資源授權(quán)功能，給各業(yè)務(wù)系統(tǒng)管理員合適的操作權(quán)限，防止越權(quán)、非法操作各業(yè)務(wù)系統(tǒng)資源的事件發(fā)生，降低基層人民銀行科技人員在日常運(yùn)維工作中遠(yuǎn)程維護(hù)安全性風(fēng)險(xiǎn)。

（五）利用堡壘機(jī)系統(tǒng)的審計(jì)，將系統(tǒng)管理員對(duì)業(yè)務(wù)系統(tǒng)操作進(jìn)行全程審計(jì)，通過(guò)堡壘機(jī)系統(tǒng)錄像方式實(shí)時(shí)監(jiān)控系統(tǒng)管理員對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行的各種操作，事中控制違規(guī)行為，降低基層人民銀行科技人員在日常運(yùn)維工作中系統(tǒng)審計(jì)缺失風(fēng)險(xiǎn)。